Exploit para falla crítica de Realtek afecta a millones de dispositivos de red

Iniciado por AXCESS, Agosto 17, 2022, 03:54:02 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha lanzado un código de exploit para una vulnerabilidad crítica que afecta a los dispositivos de red con el sistema en un chip (SoC) RTL819x de Realtek, que se estima en millones.

La falla se identifica como CVE-2022-27255 y un atacante remoto podría explotarla para comprometer dispositivos vulnerables de varios fabricantes de equipos originales (OEM), desde enrutadores y puntos de acceso hasta repetidores de señal.

Investigadores de la empresa de ciberseguridad Faraday Security en Argentina descubrieron la vulnerabilidad en el SDK de Realtek para el sistema operativo de código abierto eCos y revelaron los detalles técnicos la semana pasada en la conferencia de hackers DEFCON.

Los cuatro investigadores (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) a los que se atribuye el hallazgo de la vulnerabilidad son estudiantes de informática de la Universidad de Buenos Aires.

Su presentación cubrió todo el esfuerzo que llevó a encontrar el problema de seguridad, desde elegir un objetivo hasta analizar el firmware y explotar la vulnerabilidad, y automatizar la detección en otras imágenes de firmware.

CVE-2022-27255 es un desbordamiento de búfer basado en pila con una puntuación de gravedad de 9,8 sobre 10 que permite a los atacantes remotos ejecutar código sin autenticación mediante el uso de paquetes SIP especialmente diseñados con datos SDP maliciosos.

Realtek abordó el problema en marzo y señaló que afecta a las series rtl819x-eCos-v0.x y rtl819x-eCos-v1.x y que podría explotarse a través de una interfaz WAN.

Los cuatro investigadores de Faraday Security han desarrollado un código de exploit de prueba de concepto (PoC) para CVE-2022-27255 que funciona en los enrutadores Nexxt Nebula 300 Plus.

También compartieron un video que muestra que un atacante remoto podría comprometer el dispositivo incluso si las funciones de administración remota están desactivadas.



Los investigadores señalan que CVE-2022-27255 es una vulnerabilidad de cero clics, lo que significa que la explotación es silenciosa y no requiere interacción por parte del usuario.

Un atacante que explote esta vulnerabilidad solo necesitaría la dirección IP externa del dispositivo vulnerable.

Pocas líneas de defensa


Johannes Ullrich, decano de investigación de SANS, dice que un atacante remoto podría aprovechar la vulnerabilidad para las siguientes acciones:

    bloquear el dispositivo
    ejecutar código arbitrario
    establecer puertas traseras para la persistencia
    redirigir el tráfico de red
    interceptar el tráfico de la red

Ullrich advierte que si un exploit para CVE-2022-27255 se convierte en un gusano, podría propagarse por Internet en minutos.

A pesar de que un parche está disponible desde marzo, Ullrich advierte que la vulnerabilidad afecta a "millones de dispositivos" y que es poco probable que una solución se propague a todos los dispositivos.

Esto se debe a que varios proveedores utilizan el SDK vulnerable de Realtek para equipos basados en SoC RTL819x y muchos de ellos aún no han publicado una actualización de firmware.

No está claro cuántos dispositivos de red usan chips RTL819x, pero la versión RTL819xD del SoC estaba presente en productos de más de 60 proveedores. Entre ellos ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet y Zyxel.

El investigador dice que:

    Los dispositivos que usan firmware construido alrededor del Realtek eCOS SDK antes de marzo de 2022 son vulnerables

    Eres vulnerable incluso si no expones ninguna funcionalidad de la interfaz de administración

    Los atacantes pueden usar un solo paquete UDP en un puerto arbitrario para aprovechar la vulnerabilidad

    Es probable que esta vulnerabilidad afecte más a los enrutadores, pero algunos dispositivos IoT construidos alrededor del SDK de Realtek también pueden verse afectados.

Ulrich creó aquí una regla de Snort que puede detectar el exploit PoC. Busca mensajes "INVITE" con la cadena "m=audio" y se activa cuando hay más de 128 bytes (tamaño del búfer asignado por Realtek SDK) y si ninguno de ellos es un retorno de carro.

Los usuarios deben verificar si su equipo de red es vulnerable e instalar una actualización de firmware del proveedor lanzada después de marzo, si está disponible. Aparte de esto, las organizaciones podrían intentar bloquear las solicitudes UDP no solicitadas.

Las diapositivas para la presentación de DEFCON junto con exploits y un script de detección para CVE-2022-27255 están disponibles en este repositorio de GitHub:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta